Re: Missing or erroneous pg_hba.conf file

From: Rafael Martinez <r(dot)m(dot)guerrero(at)usit(dot)uio(dot)no>
To: Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org>
Cc: Lista PostgreSQL <pgsql-es-ayuda(at)postgresql(dot)org>
Subject: Re: Missing or erroneous pg_hba.conf file
Date: 2009-09-09 16:19:39
Message-ID: 4AA7D59B.1080609@usit.uio.no
Views: Raw Message | Whole Thread | Download mbox | Resend email
Thread:
Lists: pgsql-es-ayuda

Alvaro Herrera wrote:
> Rafael Martinez escribió:
>> Alvaro Herrera wrote:
>> [...........]
>>> (Aunque, en realidad, si no usan
>>> SSL es posible que cualquiera otro de la red pueda capturar el tráfico y
>>> quizás obtener la contraseña, con lo cual esta protección no serviría de
>>> nada).
>> Si utilizan md5 como metodo de autentificacion no les servira de nada el
>> valor md5 de la clave que capturen ya que no podran utilizarlo para
>> autentificarse.
>
> ¿Por qué no? Se podría usar en un ataque de "replay", ¿no?
>

Yo creia que esto no se podia hacer. ¿No manda el servidor postgres un
token/salt al cliente, el cual es usado por el cliente, junto al valor
md5 de la clave+usuario, para generar un nuevo valor md5 que es mandado
de vuelta al servidor para comprobacion?

Aunque capturen el valor md5 usado en una conexion, no podran usar este
valor en otra conexion posterior.

servidor ------------ 4-byte token ------------------------> cliente
servidor <--- "md5" + md5(md5(clave + usuario) + token)" --- cliente

--
Rafael Martinez, <r(dot)m(dot)guerrero(at)usit(dot)uio(dot)no>
Center for Information Technology Services
University of Oslo, Norway

PGP Public Key: http://folk.uio.no/rafael/

In response to

Responses

Browse pgsql-es-ayuda by date

  From Date Subject
Next Message Fernando Hevia 2009-09-09 16:23:56 RE: Problemas con el restore
Previous Message Agustin Casiva 2009-09-09 16:15:24 Re: Descargar postgresql 7.4.1